2
OpenVPN mit pfSense - Standortkopplung bzw. site-to-site
moinmoin ...
... analog zu meiner Frage Zentrale Verwaltung mehrerer Standorte ...
Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.
Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router ) auch schon im Ansatz erfolgreich ...
Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".
Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.
Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.
Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.
Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)
Der Rico
... analog zu meiner Frage Zentrale Verwaltung mehrerer Standorte ...
Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.
Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router ) auch schon im Ansatz erfolgreich ...
Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".
Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.
Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.
Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.
Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)
Der Rico
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 224048
Url: https://administrator.de/contentid/224048
Printed on: April 19, 2024 at 23:04 o'clock
2 Comments
Latest comment
Im Tutorial findest du im Kapitel Domain Integration (DNS) die Lösung für dein "Problem".
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
die server.conf hatte ich (Asche über mein Haupt ...) vergessen ...
hier wäre sie:
### BEGIN ###
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 144.10.20.253
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 78.20.30.160 255.255.255.248"
push "dhcp-option DOMAIN firma.lan"
push "dhcp-option DNS 78.20.30.161"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
route 192.168.0.0 255.255.0.0
push route 78.20.30.160 255.255.255.248
### END ###
ansonsten habe ich nur noch die "client-specific-overrides" mit der iroute versorgt und auf dem client unter dns-forwarder den localen DNS (DC) der Aussenstelle eingetragen
#client-specific-overrides (CN aus dem client vert verwendet)
iroute 192.168.0.0 255.255.255.0
#DNS-forwarder auf client site
dc.firma.lan 192.168.0.10
achja ... auf beiden Seiten kommt pfSense in der Version 2.1 zum Einsatz, weshalb ich auch bei einigen Screenshots anfangs verwirrt war ...
hier wäre sie:
### BEGIN ###
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 144.10.20.253
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 78.20.30.160 255.255.255.248"
push "dhcp-option DOMAIN firma.lan"
push "dhcp-option DNS 78.20.30.161"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
route 192.168.0.0 255.255.0.0
push route 78.20.30.160 255.255.255.248
### END ###
ansonsten habe ich nur noch die "client-specific-overrides" mit der iroute versorgt und auf dem client unter dns-forwarder den localen DNS (DC) der Aussenstelle eingetragen
#client-specific-overrides (CN aus dem client vert verwendet)
iroute 192.168.0.0 255.255.255.0
#DNS-forwarder auf client site
dc.firma.lan 192.168.0.10
achja ... auf beiden Seiten kommt pfSense in der Version 2.1 zum Einsatz, weshalb ich auch bei einigen Screenshots anfangs verwirrt war ...
